设计网络基础架构

本文档是Google Cloud 架构框架的一部分，提供了根据网络设计部署系统的最佳实践。您将了解如何选择和实现 Virtual Private Cloud (VPC)，以及如何测试和管理网络安全。

核心原则

网络设计对成功的系统设计至关重要，因为它可以帮助您优化性能，并确保应用与内部和外部服务通信的安全。当您选择网络服务时，请务必评估应用需求并评估应用之间的通信方式。例如，某些组件需要全球服务，而其他组件可能需要位于特定区域。

Google 的专用网络将区域位置连接到 100 多个全球网络接入点。Google Cloud 采用了软件定义网络和分布式系统技术在全球范围内托管和提供服务。Google Cloud 中的 Google 网络核心元素是全球 VPC。VPC 使用 Google 的全球高速网络跨区域连接您的应用，同时支持隐私性和可靠性。Google 可通过使用瓶颈带宽和往返传播时间 (BBR) 等技术来确保内容以高吞吐量传送。

部署云网络设计包括以下步骤：

1. 设计工作负载 VPC 架构。首先确定需要多少 Google Cloud 项目和 VPC 网络。
2. 添加 VPC 间连接。 设计如何将您的工作负载连接到不同 VPC 网络中的其他工作负载。
3. 设计混合网络连接。 设计如何将您的工作负载 VPC 连接到本地和其他云环境。

设计您的 Google Cloud 网络时，请考虑以下事项：

• VPC 可在云中提供私有网络环境，用于将基于 Compute Engine、Google Kubernetes Engine (GKE) 和无服务器计算解决方案构建的服务相互连接起来。您还可以使用 VPC 以私密方式访问 Google 管理的服务，例如 Cloud Storage、BigQuery 和 Cloud SQL。
• VPC 网络（包括其关联的路由和防火墙规则）属于全球性资源；它们与任何特定区域或可用区均无关联。
• 子网属于区域级资源。在同一云区域中的不同可用区部署的 Compute Engine 虚拟机实例可以使用同一子网中的 IP 地址。
• 进出实例的流量可以通过 VPC 防火墙规则来控制。
• 可以使用 Identity and Access Management (IAM) 角色来保护网络管理。
• 可以使用 Cloud VPN 或 Cloud Interconnect 在混合环境中安全连接 VPC 网络。

如需查看 VPC 规范的完整列表，请参阅规范。

工作负载 VPC 架构

本部分提供了设计工作负载 VPC 架构以支持您的系统的最佳实践。

提早考虑 VPC 网络设计事宜

在 Google Cloud 中设计组织设置时，提早进行 VPC 网络设计。组织级层的设计选择在流程后期无法轻易撤消。如需了解详情，请参阅 VPC 设计的最佳实践和参考架构以及确定 Google Cloud 着陆区的网络设计。

从单个 VPC 网络开始

如果有许多用例包含具有相同要求的资源，那么可以使用单个 VPC 网络提供所需的功能。单个 VPC 网络易于创建、维护和理解。如需了解详情，请参阅 VPC 网络规范。

简化 VPC 网络拓扑

为了确保架构可靠而且易于管理和理解，请使用简单易行的 VPC 网络拓扑设计。

在自定义模式下使用 VPC 网络

为确保 Google Cloud 网络能与您现有的网络系统无缝集成，我们建议您使用自定义模式来创建 VPC 网络。使用自定义模式有助于您将 Google Cloud 网络集成到现有 IP 地址管理方案中，让您能够控制 VPC 中包含哪些云区域。如需了解详情，请参阅 VPC。

VPC 间连接

本部分提供设计 VPC 间连接以支持您的系统的最佳实践。

选择 VPC 连接方法

如果您决定实现多个 VPC 网络，那么您需要将这些网络连接起来。VPC 网络是 Google Andromeda 软件定义网络 (SDN) 内的独立租户空间。不同 VPC 网络可通过多种方式相互通信。请根据您的带宽、延迟和服务等级协议 (SLA) 要求选择网络的连接方式。如需详细了解连接选项，请参阅选择满足您的费用、性能和安全性需求的 VPC 连接方法。

使用共享 VPC 来管理多个工作组

对具有多个团队的组织来说，共享 VPC 可以有效简化单个 VPC 网络在多个工作组之间的架构。

使用简单的命名惯例

选用简单、直观且一致的命名惯例。这样做有助于管理员和用户了解各个资源的用途、位置以及与其他资源的区别。

使用 Connectivity Tests 验证网络安全性

在网络安全性方面，您可以使用 Connectivity Tests 来验证两个端点之间的流量是否按照您的预期被阻止。要验证流量是否被阻止并了解被阻止的原因，请在两个端点之间定义一个测试并评估结果。例如，您可以测试一个 VPC 功能，该功能使您可以定义支持阻止流量的规则。如需了解详情，请参阅 Connectivity Tests 概览。

使用 Private Service Connect 创建专用端点

如需创建可让您使用自己的 IP 地址方案访问 Google 服务的专用端点，请使用 Private Service Connect。您可以从 VPC 内部以及通过在 VPC 中终止的混合连接来访问专用端点。

保护和限制外部连接

将互联网访问权限仅授予那些需要该权限的资源。仅具有专用内部 IP 地址的资源仍然可以通过专用 Google 访问通道来访问多个 Google API 和服务。

使用 Network Intelligence Center 监控云网络

Network Intelligence Center 可让您全面了解所有区域中的 Google Cloud 网络。它可以帮助您识别可能导致运营或安全风险的流量和访问模式。

后续步骤

了解存储空间管理的最佳实践，包括：

• 选择存储空间类型。
• 选择存储空间访问模式和工作负载类型。

探索架构框架中的其他类别，例如可靠性、卓越运营以及安全性、隐私权和合规性。